Device HA Pro er en tjeneste, der bruges til at levere netværksredundans for at reducere potentiel nedetid og kræver ikke yderligere licenser for at aktivere denne tjeneste. Derudover synkroniserer Device HA Pro konfigurationsfilen, enhedens oppetid, TCP-sessioner (IPv4/IPv6), IPSec VPN-sessioner, I/O-information, DHCP-tabel, IP/MAC Binding-tabel og licensstatus. Den enhed, der er parret med Device HA Pro-installationen, vil spille enten en aktiv eller passiv rolle. Den aktive enhed modtager alle konfigurationsændringer, der foretages i opsætningen, og er ansvarlig for at sende oplysningerne til den passive enhed. Den enhed, der antager den passive rolle, modtager konfigurationsændringer fra den aktive enhed og vil overtage den aktive rolle, hvis den nuværende aktive enhed befinder sig i en af følgende tilstande.
Før du konfigurerer Device HA Pro, er det vigtigt at gøre følgende.
- Den passive enhed bør KUN have en PC tilsluttet med Web GUI-adgang og UDEN heartbeat-kabel fra starten
- Den passive enhed bør NULSTILLES og have samme firmware som den aktive enhed, før HA Pro-konfigurationen kan ske.
- Den passive firewall bør være registreret på MyZyxel.
- Vent på, at sys-lyset blinker (passiv tilstand), før du tilslutter resten af kablerne.
- Når en HA Pro konfigureres med succes, bør der ikke være nogen nedetid ved parring af enheder
- Sørg for, at firmwareversionerne på både Første Enhed og Anden Enheds partitioner matcher.
Hvad kan gå galt? Hvorfor kan jeg ikke se den korrekte licensstatus fra myzyxel.com-serveren?
På Device-HA Pro-indstillingen er der en funktion "Serienummer på den licenserede enhed til licenssynkronisering". Du skal indtaste enhedens S/N, som har licenserne. Så kan du overføre alle licenser til den "Aktive" enhed ved at indtaste denne enheds S/N i feltet.
Bemærk: Den standardbundne et-årige Gold Security Pack-licens til ATP-gateways kan ikke overføres. For Device HA-implementering, venligst kontakt Zyxel support i dit land/område for at få hjælp til at overføre licenser. Licens
Hvordan du kontakter Support Team for licensoverførsel, kan du se her: Hvordan kontakter man Support Team?
Oversigt
Device HA-funktionen fungerer som en failover, når en af firewalls i netværket er nede eller ikke kan få adgang til internettet. I Device HA Pro tilføjes et "heartbeat link" til overvågning af interface-status og synkronisering af indstillinger.
Opsætning af aktiv enhed
For at konfigurere Device HA Pro-funktionen skal du logge ind på Zyxel firewallens webinterface og navigere til:
Configuration -> Device HA -> Device HA ProDen sidste fysiske RJ45-port på Zyxel-firewallen er Device HA Management-porten (Heartbeat-port). Sørg for, at denne port ikke er en del af en LAG, VLAN eller bro-interface.
Trin:
• Fjern markeringen i "Enable Configuration Provisioning From Active Device"-muligheden.
• Bekræft, at serienummeret er den primære enheds S/N.
• Angiv en IP-adresse for den aktive enhed. (Skal være en adresse, der ikke er i brug på nogen af dine nuværende interfaces)
• Angiv en IP-adresse for den passive enhed. (inden for samme subnet som ovenfor)
• Angiv en subnetmaske.
• Opret en synkroniseringsadgangskode.
• Vælg overvågningsinterfaces fra den tilgængelige liste og flyt dem over til medlemslisten.
• Konfigurer dine ønskede Failover Detection-indstillinger.
• Klik på knappen "Apply & switch to Device HA Pro".
Gå til fanen Device HA igen for at aktivere Device HA-funktionen på den aktive firewall.
• Bekræft, at Device HA Mode er sat til "Device HA Pro".
• Sæt flueben i "Enable Device HA".
• Klik på knappen "Apply" nederst på skærmen for at gemme indstillingerne.
Opsætning af passiv enhed
Bemærk! Tilslut kun din PC til den passive firewall, når du konfigurerer HA Pro. Efter du har konfigureret HA Pro og har samme firmware som den aktive enhed, kan du tilslutte heartbeat-kablet (KUN!). Når enheden er startet op, og du ser SYS LED-lyset og kun heartbeat-portens LED-lys er tændt, kan du tilslutte resten af portene.
For at konfigurere den passive enhed skal du forbinde din computer til den anden Zyxel-firewall og få adgang til webinterfacet
Configuration -> Device HA -> Device HA Pro• Sørg for, at "Enable Configuration Provisioning From Active Device" er markeret.
• Bekræft, at Device HA Mode er sat til "Device HA Pro".
• Sæt flueben i "Enable Device HA".
• Klik på knappen "Apply" nederst på skærmen for at gemme indstillingerne.
Tilslut et Ethernet-kabel til Heartbeat-porten (sidste fysiske port) på begge enheder, og vent ca. 5 minutter, så enhederne kan synkronisere alle indstillinger. På dette tidspunkt er Device HA Pro-funktionen konfigureret, og eventuelle ændringer foretaget på den primære (aktive) firewall vil blive synkroniseret til den sekundære (passive) firewall.
Bemærk: Sørg for at aktivere "Connectivity Check" for WAN-forbindelsen/-forbindelserne. Aktivering af denne mulighed vil tillade Zyxel-firewallen at teste internetadgang og skifte over til den sekundære internetforbindelse på den passive enhed, hvis den fejler på den aktive enhed.
For On-Premises-tilstand med High Availability (HA) funktion aktiveret, må du IKKE bruge cloud firmware-opgradering. Du skal følge en anden procedure for at fuldføre firmware-opgraderingen; læs venligst SOP. * Gældende modeller og versioner: USG FLEX 500/700, ATP500/700/800 med ZLD5.20 til ZLD5.21 Patch1.
Fejlfindingstips
1. Synkronisering kan fejle med beskeder på den passive enhed
Synkroniseringen kan fejle med følgende beskeder på den passive enhed:
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Retriving Active Firmware version has filed
Device HA Sync has filed when syncing Firmware Version due to bad 'Sync From' or 'Sync Port'.
En mulig årsag kan være, at FTP-tjenesten på den aktive enhed har nogle begrænsninger, så den passive enhed ikke kan få adgang til den.
Eksempel på forkert opsætning:
2. Enheder synkroniserer ikke
- Sørg for, at begge enheder kører samme firmwareversion. Begge skal køre samme firmwareversion for at synkronisere.
- Sørg for, at begge enheder kører samme firmwarebank/-slot. Hvis den primære enhed kører firmware slot 1 og slot 2 er standby, skal den anden enhed også køre slot 1 med slot 2 på standby.
- Sørg for, at kun Heartbeat-porten (sidste RJ45-port på enheden [fx: P7]) er tilsluttet den primære enhed i de første 5 minutter efter aktivering af Device HA Pro-funktionen. Hvis begge enheder er tilsluttet et aktivt netværk samtidig, kan det forårsage routingproblemer, loops og kollisioner, der påvirker netværket.
3. Kan ikke få adgang til den passive enhed
-
- Sørg for, at enhederne er færdige med at synkronisere. Den indledende synkroniseringsproces kan tage op til 5 minutter.
- Brug den IP-adresse, du har konfigureret i Device HA Pro-menuen som "Passive Device Management IP".
4. Jeg har foretaget ændringer på den passive enhed, men de synkroniseres ikke til Master-enheden.
-
- Når Device HA Pro er konfigureret, skal alle ændringer i netværkskonfigurationen foretages på Master/Primær-enheden. Den passive enhed fungerer kun som slave, og ændringer foretaget her vil ikke blive anvendt på Primær/Master-enheden.
5. SecuReporter-licens/tjeneste er aktiv på firewall, men enheden kan ikke findes i SecuReporter
-
- Når master-enheden er skiftet til den passive enhed, og SecuReporter-licensen derefter aktiveres, kan det ske, at licensen ikke synkroniseres i SecuReporter, selvom det står "active/activated" i firewallens GUI. Du skal gøre den primære enhed aktiv igen, fjerne enheden og organisationen i SecuReporter og genaktivere SecuReporter-tjenesten på den primære enhed.
Der er andre problemer, prøv at genudrulle Device HA Pro, se her Device HA Pro genudrulning
Kommentarer
0 kommentarerLog ind for at kommentere.